摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. Spring Security存在安全特性绕过漏洞
2. Citrix ADC/Gateway 远程代码执行漏洞
3. OpenSSH ssh-agent 远程代码执行漏洞
4. Trend Micro Apex Central SQL注入漏洞
漏洞详情
1.Spring Security存在安全特性绕过漏洞
漏洞介绍:
Spring Security是一个功能强大、高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序安全的事实标准。
漏洞危害:
在WebFlux的Spring Security配置中使用"**"作为模式,会导致Spring Security 和Spring WebFlux之间模式不匹配,并可能造成安全绕过。
影响范围:
6.1.0<=Spring Security<=6.1.1
6.0.0<=Spring Security<=6.0.4
5.8.0<=Spring Security<=5.8.4
5.7.0<=Spring Security<=5.7.9
5.6.0<=Spring Security<=5.6.11
修复方案:
及时测试并升级到最新版本或升级版本。
来源:安恒信息CERT
2.Citrix ADC/Gateway 远程代码执行漏洞
漏洞介绍:
Citrix Gateway是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。
漏洞危害:
该漏洞存在于Citrix ADC 及 Citrix Gateway 中,是一个远程代码执行漏洞。未授权的远程攻击者可利用此漏洞在目标设备上执行任意代码。
漏洞编号:
CVE-2023-3519
影响范围:
Citrix:NetScaler ADC 、NetScaler Gateway 13.0 < 13.0-91.13
Citrix:NetScaler ADC 、NetScaler Gateway 13.1 < 13.1-49.13
Citrix:NetScaler ADC 12.1-FIPS < 12.1-55.297
Citrix:NetScaler ADC 12.1-NDcPP < 12.1-55.297
Citrix:NetScaler ADC 13.1-FIPS < 13.1-37.159
修复建议:
及时测试并升级到最新版本或升级版本。
来源:360CERT
3.OpenSSH ssh-agent 远程代码执行漏洞
漏洞介绍:
OpenSSH 是 Secure Shell (SSH) 协议的开源实现,提供一套全面的服务,以促进客户端-服务器环境中不安全网络上的加密通信。
漏洞危害:
该漏洞存在于OpenSSH SSH 代理的转发功能中,是一个远程代码执行漏洞。在特定条件下利用 SSH 代理对 PKCS#11 的支持,攻击者可以通过转发的代理套接字执行代码。
漏洞编号:
CVE-2023-38408
影响范围:
5.5 < OpenSSH:OpenSSH <= 9.3p1
修复方案:
及时测试并升级到最新版本或升级版本。
来源:360CERT
4.Trend Micro Apex Central SQL注入漏洞
漏洞介绍:
Trend Micro Apex Central是美国趋势科技(Trend Micro)公司的一个基于Web的控制台。
漏洞危害:
Trend Micro Apex Central存在SQl注入漏洞,攻击者可利用该漏洞提交特殊的SQL请求,操作数据库,获取敏感信息或执行任意代码。
漏洞编号:
CVE-2023-32529
影响范围:
Trend Micro Apex Central 2019 (On-prem)
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END